John the ripper

Seguimos co tema dos contrasinais. O noso proxecto hoxe vai ser pescudar contrasinais empregando unha ferramenta clásica que todo o mundo coñece no mundillo: John.

O teu traballo:

Coa axuda desta páxina imos ir paseniño:

1. Actualiza Kali con eso que xa sabemos de update e upgrade
2. Instala o paquete co que imos traballar: sudo apt install john
3. Sempre se aconsella unha proba de rendemento, non sexa que a cousa sexa moi lenta: john --test
4. Imos simular un ficheiro  parecido ao de contrasinais de linux: terá usuario e o contrasinal hasheado: nano xan.xxx
5. Temos que teclear un nome de usuario e un contrasinal que estea en forma de hash. O clásico é sempre: user:AZl.zWwxIh15Q
6. Garda o ficheiro con só esa liña de texto.
7. Imos averiguar cal é o contrasinal coa axuda de: john xan.xxx
8. Dá feito algo? Cando remate fíxate que di que teclees: john --show xan.xxx
9. Cal era o contrasinal secreto de user?
10.  Inventa ti un usuario que desexes, pensa un contrasinal e usa un algoritmo dos do outro día para obter o hash. Modifica ti o ficheiro xan.xxx para poñer a túa información. Pescuda  john o contrasinal que puxeches? Olliño con indicarlle o algoritmo que usas!!!! con --format
11.  Explica todo o que descubriches no teu blog.

Pista: consulta os algoritmos con john --list=formats

Hash para comprobar descargas

Xa vimos que podemos crear un ficheiro, hashealo e comprobar que está íntegro só se coinciden o hash.

Se descargo de internet un programa o interesante é que o propietario me dea o hash do ficheiro.

Cando descargue podo comprobar con md5sum se o que recibo está tal e como o dono o subiu, sen que ninguén metera código malicioso. Estupendo para verificar a integridade dun paquete.

O teu traballo:

VirtualBox ofrece na súa páxina de descargas esa información.

 

Hash para o meu nome

Con que algoritmo se fixo?

Falamos do cifrado de César que se poñía unha letra en troques de outra. Xa vimos que cun chisco de esforzo damos desencriptado  con  facilidade. E se a técnica de cifrado que empregamos é máis complexa de desencriptar? Falamos de algoritmos que permiten converter por exemplo o meu nome nunha ristra de letras e números: os chamados HASH e tamén funcións de resumo.

O teu traballo:

• Busca dúas ferramentas online coa que obter o hash do teu nome empregando o algoritmo SHA-256 e publícao no teu blog. Coincide co que dá esta páxina?
• Obtén o hash dun ficheiro usando o comando de kali chamado md5sum fai o seguinte:

1. 1. 1. 1. Fabrica un ficheiro: touch jaxote.hhh
         2. Usando un editor teclea nel algo de texto: nano jaxote.hhh
         3. Obtén o seu hash con md5sum jaxote.hhh e súbeo ao teu blog explicando o que fixeches.
         4. Engade máis texto en: nano jaxote.hhh
         5. Volve a obter o hash con: md5sum jaxote.hhh súbeo ao teu blog explicando o que fixeches.
2. Tamén podes usar no PowerShell de Windows o comando:
   Get-FileHash jaxote.hhh -Algorithm MD5

• Imos xogar agora cos arquivos /etc/passwd e tamén /etc/shadow

Crunch

Como averiguar o contrasinal para entrar nese sitio tan interesante que xa se me esqueceu? Podo probar durante horas combinacións de teclas ou fabricar un ficheiro que teña miles de combinacións de caractereres e intentar usalo. Para eso está crunch ao noso servizo: para fabricar listas de posibles contrasinais.

O teu traballo:

Pescuda pola web o que significa un ataque de forza bruta e anota unha boa definición.

Entra en kali e aprende a manexar  no terminal crunch.Mostra con capturas de pantalla como se fai para:

1. Fabricar un dicionario con contrasinais de só 4 caracteres.
2. Como se fai para gardar o teu dicionario nun ficheiro?
3. Como se fai para que teñan letras e números?
4. Para que serve a opción -t ?
5. Que son as rainbow tables?

Probas de criptografía e keylogger

Falamos de que a criptografía é ocultar a información para que dúas persoas podan comunicarse sen que ninguén máis se entere. Falamos do cifrado de César que consistía en mover o alfabeto unhas cantas posicións. A clave do asunto era precisamente saber cantas posicións.

O teu traballo:

Cando xogamos co keylogger atopábamos que non reproducía exactamente o que nós tecleamos. Podemos facer algo parecido a unha táboa que indique como sae cada letra que tecleamos? Hai algunha chave para descifrala?